Co mají společné a rozdílné DORA, NIS2 a nZKB
Aktualizováno: 20.11.2024
DORA, NIS2 a nZKB jsou klíčové regulace v oblasti kybernetické bezpečnosti, které mají za cíl posílit odolnost organizací vůči kybernetickým hrozbám. Tento článek porovnává jejich společné rysy a rozdíly, včetně působnosti, požadavků a implementace.
Klíčové regulace v oblasti kybernetické bezpečnosti
V posledních letech došlo k významnému posílení regulatorního rámce kybernetické bezpečnosti v Evropské unii i České republice. Mezi nejdůležitější nové předpisy patří:
Nařízení DORA – o digitální provozní odolnosti finančního sektoru
Směrnice NIS2 – o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení
nZKB – (nový) zákon o kybernetické bezpečnosti
Společné rysy regulací
Přestože se jednotlivé regulace v detailech liší, můžeme mezi nimi najít několik společných prvků a cílů. Tyto společné rysy odrážejí snahu zákonodárců komplexně řešit problematiku kybernetické bezpečnosti napříč různými sektory a typy organizací. Mezi hlavní společné charakteristiky patří:
- Všechny tři regulace se zaměřují na zlepšení kybernetické bezpečnosti
- Vyžadují řízení rizik a implementaci bezpečnostních opatření
- Stanovují povinnost hlášení incidentů
- Zavádějí požadavky na testování a audity
Základní informace
Níže naleznete strukturovaně informace o jednotlivých regulacích jako jsou jakým způsobem se regulace aplikuje, od kdy bude platit, působnosti v sektorech a jaký je dozorový orgán v rámci EU i ČR.
Aplikovatelnost na subjekty
- DORA: nařízení EU, které má přímou aplikovatelnost napříč EU
- NIS2: směrnice EU, jejíž aplikací v rámci české republiky je nZKB
- nZKB: (nový) zákon o kybernetické bezpečnosti a příslušné vyhlášky
Platnost
- DORA: Od 17.ledna 2025
- NIS2: Implementace do národních legislativ měla proběhnout do října 2024
- nZKB: Očekávaná účinnost během Q1/2025 (přesné datum zatím není stanoveno)
Působnost
- DORA: Finanční sektor EU
- nZKB: České subjekty spadající pod zákon o kybernetické bezpečnosti (definovaný sektor a dopadové kritérium)
Dozorový orgán
- DORA: Evropské orgány dohledu (EBA, ESMA, EIOPA), v rámci České republiky ČNB
- nZKB: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)
Rozdílnost požadavků v regulacích
Jaké jsou rozdíly v požadavcích jednotlivých regulací jako je jednotná úroveň požadavků pro všechny, na co byste se měly zaměřit v rámci třetích stran a jakou požadují regulace úroveň testování a zda jsou povinné audity?
Úroveň požadavků
- DORA: Jedna skupina – stejná pravidla pro všechny regulované organizace
- nZKB: Nižší a vyšší povinnosti – povinnost organizačních a technických opatření jsou definované dle úrovně povinnosti
3-tí strany
- DORA: Zaměření na řízení rizik třetích stran v oblasti ICT
- nZKB: Důraz na dodavatelský řetězec
Testování a audity
- DORA: Pravidelné testování odolnosti, penetrační testy, testy zranitelnosti a audity
- nZKB: Vyšší povinnosti zahrnují pravidelné bezpečnostní audity a rizikovou analýzu, včetně penetračního testování. Nižší povinnosti pak minimálně pravidelné hodnocení rizik
Stejný přístup k implementaci bezpečnosti
V následující části si představíme, že všechny regulace mají stejný postupný přístup k jejich naplnění. Níže jsou uvedené kroky v pořadí, tak jak by měly typicky jít za sebou. To znamená, že je jedno zdali se na vaši organizaci vztahuje nařízení DORA nebo NIS2 nebo obě dvě nejednou, přístup a postup byste měly mít stejný.
1. Analýza současného stavu
- Posouzení, zda organizace spadá pod DORA nebo NIS2
- Prověření stávajících procesů a systémů
- Identifikace nedostatků v kybernetické bezpečnosti (GAP analýza)
2. Vytvoření implementačního plánu
- Určení zodpovědní osoby za kybernetickou bezpečnost v organizaci
- Stanovení priorit a časového harmonogramu
- Alokace zdrojů (finančních i personálních)
3. Zavedení systému řízení kybernetické bezpečnosti
- Určení odpovědností v rámci organizace
- Vytvoření nebo aktualizace bezpečnostních politik a směrnic
4. Definice služeb, jejich požadovaná úroveň, definice aktiv a riziková analýza
- Nastavení systému pro správu aktiv a incidentů
- Hodnocení aktiv a dopadů do byznysu organizace
- Implementace procesů pro řízení rizik
- Definice potřebné úrovně služeb (SLA)
- Definice bezpečnostních pravidel
- Změny smluv s dodavateli
5. Technická opatření
- Posílení zabezpečení sítí a systémů
- Implementace nástrojů pro detekci a prevenci hrozeb
6. Kontinuita
- Zavedení a otestování systému pro zálohování a obnovu dat
- Zavedení a otestování disaster recovery
- Hodnocení a případné vytvoření plánů kontinuity
7. Školení zaměstnanců
- Zvyšování povědomí o kybernetické bezpečnosti
- Vyškolení garantů
- Praktický nácvik reakce na bezpečnostní incidenty
- Pravidelné aktualizace znalostí
8. Testování a audit
- Provádění testů zranitelnosti, penetračních testů a zátěžových zkoušek
- Interní a externí audity bezpečnostních opatření
- Simulace kybernetických útoků a nácvik reakce
9. Reporting a komunikace
- Nastavení systému pro hlášení incidentů
- Pravidelné reportování managementu
- Komunikace uvnitř firmy
- Komunikace s regulátory
10. Dokumentace a prokazování souladu
- Vedení detailní dokumentace o všech opatřeních
- Dokumentace prokázání shody
Kybernetická bezpečnost je kontinuální proces
Kybernetická bezpečnost je kontinuální proces, který nikdy nekončí. Je nezbytné se jí věnovat neustále a systematicky. Hrozby v kyberprostoru se neustále vyvíjejí a mění, proto je třeba bezpečnostní opatření pravidelně přezkoumávat, aktualizovat a zlepšovat. Proto jsme přidali ještě jeden bod.
11. Kontinuální zlepšování
- Pravidelné přezkoumávání a aktualizace bezpečnostních opatření
- Sledování nových hrozeb a trendů v kybernetické bezpečnosti
- Implementace nových technologií a postupů
- Sdílení a vyhledávání informací v rámci odvětví o hrozbách a best practices
- Pravidelné ověřování souladu s požadavky DORA a NIS2
